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摘 要 : 利用 云 计 算 资源 共享 的 特性 ， 攻 击 者 可 以 通过 不 停 消耗 带宽 资源 ， 使 得 同一 物理 主机 上 的 其 他 用 户 无 法 接受 
正常 服务 ， 造 成 拒绝 服务 〈denial ofservice，DoS) 攻击 。 这 种 攻击 区 别 于 传统 网 络 体系 中 的 DoS 攻击 ， 因 此 难以 应 用 
传统 防御 方法 解决 。 针 对 这 一 问题 ， 提 出 一 种 基于 虚拟 机 迁移 的 DoS 攻击 防御 方法 ， 通 过 选择 迁移 目标 、 设 计 和 触发 机 
制 和 选择 迁移 目的 地 ， 形 成 迅速 减轻 DoS 攻击 影响 的 虚拟 机 迁移 策略 。 实 验 结果 表明 ， 针 对 攻击 者 的 不 同 攻击 方式 ， 
a DoS 攻击 ,保证 云 服务 的 正常 运行 。 相 比 其 他 策略 ， 所 提 方 法 在 迁移 开销 上 咯 有 增加 ， 但 
防御 效果 明显 ， 可 行 性 更 高 。 
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Defensive method against DoS attack based on virtual machine migration 


Zhang Miao, Ji Xinsheng, Liu Wenyan, Yang Chao, Huo Shumin, Chen Guozhen 
(National Digital Switching Engineering & Technological R&D Center, Zhengzhou 450002, China) 


Abstract: By utilizing the characteristics of resource sharing in cloud computing, attackers can launch DoS attack by constantly 
consuming bandwidth resources so that other users on the same physical host can not receive normal services. This attack mode 
is different from the DoS attack in traditional network system, so it is difficult to apply traditional defense method to solve it. 
To solve this problem, this paper proposes a DoS attack defense method based on virtual machine migration. By selecting the 
migration target, designing the triggering mechanism and selecting the migration destination, a virtual machine migration 
strategy is proposed to mitigate the impact of DoS attacks. The experimental results demonstrate that this method can effectively 
defend DoS attack and ensure the normal operation of cloud service whatever different attack methods that attackers may use. 
Compared with other methods, the proposed strategy leads a litter more migration cost, however, it’s better in defense effect and 
feasibility. 
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0 引言 一 种 云 环境 下 特有 的 拒绝 服务 (DoS ) 攻击 sf 。 这 种 攻 
击 区 别 于 传统 网 络 中 DoS 的 形式 , 但 同样 会 对 云 平台 的 正常 运 

云 计算 中 虚拟 化 技术 可 以 实现 对 CPU、 存 储 等 物理 资源 的 ， 行 造 成 严重 威胁 。 
池 化 ， 从 而 使 得 不 同 的 用 户 可 以 共享 这 些 资源 。 然 而 ， 这 种 模 传统 网 络 体系 中 ，DoS 或 者 DDoS (distributed denial of 


式 也 成 为 攻击 者 方便 利用 的 漏洞 。 当 不 同 用 户 的 虚拟 机 运行 于 ”service， 分布 式 拒绝 服务 〉 攻 击 一 般 是 由 攻击 者 控制 的 僵尸 网 


同 


物理 主机 上 时 ,攻击 者 可 以 利用 侧 信道 、 隐 蔽 信道 等 方式 ， 络 ， 向 攻击 目标 或 服务 持续 地 发 送 应 用 请 求 和 攻击 流量 ， 降 低 


窃取 目标 虚拟 机 的 机 密 信 息 或 探测 其 负载 状态 ， 这 类 攻击 被 称 目标 服务 可 用 性 ， 增 加 用 户 运行 的 成 本 和 开销 。 与 之 相 比 ， 云 
为 共存 攻击 或 同 驻 攻击 ”9 。 发 起 共存 攻击 的 方式 有 多 环境 下 的 DoS 攻击 形式 更 加 多 样 , 如 可 以 利用 云 计 算 的 树 
种 ， 其 中 ， 恶 意 虚拟 机 利用 网 络 通道 发 送 无 效 数据 或 者 利用 漏 。 扑 , 造成 带宽 饥饿 攻击 ; 对 采用 SDN 架构 发 起 的 控制 层 、 数 据 
洞 不 停 占 用 底层 资源 ， 从 而 造成 正常 用 户 服务 受到 影响 ， 形 成 层 攻击 等 。 而 且 按 需 服 务 的 特点 使 得 大 规模 僵尸 网 络 更 加 容易 
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构建 ， 资 源 共享 的 模式 也 让 与 目标 相关 联 的 用 户 数量 增加 ， 攻 

击 面 被 扩大 。 云 计算 的 很 多 特点 成 为 了 攻击 者 利用 的 漏洞 ， 使 

得 传统 的 防御 方法 很 难 在 云 环 境 中 有 效 使 用 。 OpenStack 是 一 个 开源 的 云 计 算 管 理 平台 ， 一 般 由 控制 节 
虚拟 机 迁移 指 的 是 将 虚拟 机 从 一 个 主机 或 存储 位 置 移动 到 ”点 、 计 算 节 点 、 网 络 节点 和 存储 节点 四 个 部 分 组 成 。 其 中 控制 

另 一 个 主机 或 存储 位 置 的 过 程 , 其 中 实时 迁移 (live migration ) 节点 和 计算 节点 基本 可 以 实现 OpenStack 的 重要 功能 。 控 制 节 

可 以 保证 在 服务 不 中 断 的 情况 下 实现 一 种 对 用 户 透 明 的 迁移 ， 点 负责 对 其 余 节 点 进行 控制 , 主要 包括 了 虚拟 机 的 建立 和 迁移 ， 

从 而 在 负载 均衡 、 在 线 维护 等 方面 起 到 重要 作用 ， 得 到 了 广泛 。 以 及 网 络 资源 的 分 配 等 ， 计 算 节点 则 负责 虚拟 机 的 运行 。 

的 研究 。 由 于 云 环境 中 的 DoS 攻击 的 主要 威胁 是 影响 虚拟 机 的 如 图 1 所 示 ， 三 台 物 理 服 务 器 上 分 别 安装 了 一 个 控制 节点 

正常 服务 ， 因 此 本 文 考虑 利用 虚拟 机 迁移 技术 ， 将 虚拟 机 从 遭 ” 和 两 个 计算 节点 。 在 计算 节点 上 ， 虚 拟 机 通过 数据 网 络 实现 与 

受 这 种 DoS 攻击 的 主机 上 迁移 到 其 他 正常 的 主机 上 , 使 得 服务 。 内 网 和 外 网 的 连接 ; 而 控制 节点 通过 管理 网 络 与 计算 节点 之 间 

可 以 正常 运行 , 同时 释放 源 主机 上 的 带宽 资源 , 缓解 DoS 攻击 。 ”进行 通信 ， 向 计算 节点 发 送 控制 指令 。 值 得 注意 的 是 ， 虚 拟 机 
本 文 的 攻防 模型 建立 在 基于 OpenStack 的 云 平 台 上 ， 从 是 ”的 迁移 也 是 通过 管理 网 络 实现 的 ， 即 虚拟 机 内 存 、 磁 盘 的 迁移 

否 具备 信息 获取 能 力 和 恶意 流量 能 否 调节 两 方面 ， 将 攻击 者 分 。 不 会 影响 数据 层 的 网 络 带 宽 。 因 此 ， 迁 移 过 程 不 会 加 重 网 络 的 

为 四 种 情形 ， 针 对 不 同 的 攻击 形式 ， 提 出 统一 的 虚拟 机 迁移 策 。 负载， 迁移 完成 后 ， 还 能 缓解 拥塞 ， 使 得 网 络 重新 提供 正常 的 

略 ， 包 括 对 虚拟 机 的 选择 、 迁 移 的 触发 机 制 和 迁移 目的 地 。 实 。 服务 。 

验 结果 验证 了 所 提 方 法 的 可 行 性 和 有 效 性 。 


2 云 平台 模型 


数据 层 汇聚 交换 机 


1 ”相关 研究 som 
针对 云 环境 中 的 DoS 攻击 , 研究 人 员 提 出 了 一 些 不 同 的 解 
决 思路 。Harkeerat 等 人 条 坑 到 引用 浙 , 仿 现 EC2 平台 下 虚拟 机 与 网 sn 
络 的 流量 都 会 经 过 domain 0， 因 此 提出 一 种 博弈 策略 ， 通 过 设 ke 
定 防火 墙 的 阔 值 来 过 滤 恶意 攻击 者 的 流量 ， 但 是 这 种 方法 对 正 BO 
常用 户 超过 阔 值 的 流量 也 进行 过 滤 ， 实 用 性 较 差 。Qiao 等 人 器 | | 二 三 
利用 SDN (software-defined networking， 软 件 定义 网 络 ) 网 络 
空 制 和 数据 平面 分 离 、 流 规则 动态 更 新 等 特点 , 提出 用 SDN 架 i [dss Be)| waan 
构 来 探测 并 处 理 DoS 攻击 ， 然 而 SDN 本 身 可 能 成 为 攻击 的 目 一 一 外 网 数据 网络 


标 ， 且 对 于 现 有 架构 的 修改 使 得 这 种 方法 难以 大 规模 部 署 。 

Zhang 等 人 “fg 针对 基于 主机 的 DoS 攻击 ， 利 用 统计 方 
法 探测 不 同 资源 的 利用 率 变化 情况 ， 来 鉴定 和 阻止 恶意 虚拟 机 
发 起 的 内 存 、 硬 盘 上 的 DoS 攻击 ， 这 种 防御 方法 可 以 有 效 解决 
特定 条 件 下 的 攻击 ， 但 对 其 他 类 型 的 DoS 攻击 无 法 起 到 作用 。 
一 直 以 来 ， 虚 拟 机 迁移 的 实用 性 得 到 了 广泛 的 关注 。 一 方 


图 1 基于 OpenStack 的 简易 云 架 构 模 型 

图 2 表示 在 一 个 物理 主机 上 ， 虚 拟 机 1 为 攻击 者 拥有 ， 虚 
拟 机 2 和 3 属于 正常 用 户 。 当 恶意 攻击 者 不 停 发 送 大 量 的 流量 
时 (图 2 中 A 部 分 )， 会 消耗 主机 上 较 多 的 带宽 资源 ， 从 而 使 
得 虚拟 交换 机 (图 中 OVS，Open vSwitch) 的 上 行 链 路 产生 拥 


利用 雇 所 机 寺 移 , 去 服务 提 伙 商 (dloud vervice ovidL CSP) 。 春 B 部 分 )。 由 于 永 拟 机 与 外 部 的 通信 者 必须 经 过 OVS, 因此 
可 以 实现 负载 均衡 、 资 源 节约 、 在 线 维护 等 功能 ， 提 高 资源 利 。 当 OVS 链 路 的 带宽 需求 超过 其 资源 总 量 时 ， 服 务 器 上 其 他 正 
常用 户 虚 执 机 的 服务 必然 受到 影响 ， 即 遗 受 Dog 攻击 。 


用 率 、 保 证 服务 质量 ， 同 时 ， 随 着 网 络 安全 的 重要 程度 日 益 增 | CR 本 
强 ， 利 用 虚拟 机 迁移 保护 用 户 数据 隐私 安全 也 成 为 一 种 研究 方 显然 , 攻击 者 发 起 DoS 攻击 造成 的 影响 ,与 主机 上 正常 用 
虚拟 机 的 数量 呈正 相关 的 关系 。 极 端 情况 下 ， 若 主机 上 仅 存 


向 .如 Moon 等 人 esas. 建 立 了 云 侧 信道 信息 泄露 的 模型， 

利用 迁移 减 小 信息 泄漏 风险 ， 但 随 着 网 络 规模 的 扩大 ， 迁 移 开 ”在 度 击 者 ， 那 么 攻击 行为 个 会 对 主机 上 的 其 他 用 户 产生 影响 ; 
销 迅速 增加 。 文 献 错误 ! 未 找到 引用 源 。 在 此 基础 上 ， 对 虚拟 机 下 国 者 用 户 诬 搁 机 数量 的 于 加 ， 只 要 网 络 发 生 岳 宕 那么 整个 
进行 等 级 分 类 ， 提 出 开销 节约 的 虚拟 网 映射 和 迁移 策略 。 由 于 主机 上 的 用 户 都 会 受到 干扰 。 


ethz 
虚拟 机 迁移 技术 、 机 制 等 都 已 经 较为 成 熟 ， 因 此 将 其 应 用 于 安 | 
全 领域 时 ， 可 以 迅速 发 挥 作用 。 然 而 到 目前 为 止 ， 未 发 现在 防 
御 Dos 攻击 上 利用 虚拟 机 迁移 的 研究 , 因此 本 文 希望 可 以 将 虚 、 | 
拟 机 迁移 的 应 用 场景 再 次 扩大 ， 并 启发 其 他 研究 人 员 应 用 动态 


防御 思想 解决 云 安全 问题 。 


三 


CYM VM | VM 
图 2 攻击 者 占用 带宽 资源 造成 DoS 攻击 
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3 ”攻击 者 行为 


云 服 务 提供 
将 其 分 配 到 适 
的 限制 ， 且 最 大 需求 不 会 超过 


商 在 部 署 
当 的 主机 上 


中 出 现 剧 增 的 流量 时 ， 提 


源 于 用 


用 户 虚拟 机 时 ， 会 根据 虚拟 机 的 属性 
， 即 虚拟 机 可 利用 的 资源 受到 其 类 型 
主机 的 承受 能 力 。 因 此 ， 在 网 络 
供 商 无 法 判断 该 虚拟 机 增加 的 流量 来 


户 的 正常 需求 或 是 
分 配 的 模式 使 得 传统 的 入 侵 检测 方法 无 法 应 
攻击 时 ， 服 务 提供 商 
反 SLA(service level agreements, 服 


难以 


4 


随 着 攻击 手段 的 丰富 


提高 ， 而 上 文 也 提 到 ， 


攻 


步 迷 惑 云 服务 提供 1 
照 攻击 者 的 信 
节 (adjustable), 将 


癌 ， 保 


息 (information ) 获取 
其 行为 分 为 以 下 四 种 情形 : 


攻击 者 的 恶意 行为 。 云 计算 这 种 按 需 
用 , 因此 , 发 生 DoS 
对 某 一 虚拟 机 进行 限制 ， 否 则 可 能 违 
务 水 平 协议 )。 

， 攻 击 者 探测 系统 信息 的 能 力也 逐 

击 者 可 以 调节 发 送 的 恶意 流量 ， 进 
证 攻击 行为 的 持续 性 。 因 此 ， 本 文 按 
能 力 和 对 恶意 流量 是 否 自 调 
a) 可 以 获取 主机 


夷 渐 


3 
二 


资源 信 


息 ， 且 自我 调节 攻击 


虚拟 机 的 数量 和 资源 利用 


机 进行 攻击 ,在 部 署 
使 得 云 服务 提供 商 无 法 判断 其 
， 不 具备 流量 调 


攻击 者 有 能 力 探 测 各 主机 上 
情况 ， 选 择 当前 带宽 需求 量 最 大 的 主 


市 物 星 。 


攻击 虚拟 机 后 ,可 以 调节 发 送 的 攻击 流量 ， 


是 否 为 恶意 攻击 者 ; b) 没 有 信息 
。 攻 击 者 任意 选择 云 平 台中 主 


二 上 和 台 已 


卫 用 


EB 成 


流量 。 


N4>，<M，4>。 


4 ”防御 DoS 攻击 的 虚拟 机 迁移 策略 


本 文 利 ) 
环境 中 虚拟 机 
虚拟 机 时 必须 有 相应 的 策 
可 能 降低 迁移 开销 。 


刻 ; 选择 
文 分 别 设 
4.1 


于 拥塞 ， 则 继续 选择 剩余 


虚拟 机 迁移 
数量 了 时 多 » 


一 般 


图 : 择 待 迁移 的 虚拟 机 ; 
目的 主机 ， 将 虚 


别 的 攻击 , 并 让 恶意 虚拟 机 持续 性 
而 迅速 在 该 主机 上 7 
; dd) 没有 信息 
将 上 述 四 种 攻击 者 模型 分 别 记 为 <7, 4>, <NI, N4>, </， 


机 。 


发 送 相同 的 流量 ， 
DoS 攻击 ;0c) 可 以 获取 主机 资源 信息 ， 
获取 能 力 ， 可 自我 调节 攻击 


来 防御 云 平 台中 的 DoS 攻击 ， 
且 资 源 利用 情况 时 刻 在 发 生变 化 ，i 
略 ， 才能 在 防御 Dos 攻击 的 同时 ， 尽 
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*， 即 先 将 源 虚拟 机 的 内 存 复制 到 目的 主机 上 ， 然 后 反复 迭代 
拷贝 内 存 脏 页 ， 直 到 内 存 小 于 一 个 六 值 或 者 迭代 次 数 达到 设置 
的 最 大 值 为 止 。 如 上 图 3 所 示 ， 令 虚拟 机 的 内 存 大 小 为 M ， 迁 
移 过 程 中 脏 页 率 为 R， 分 配给 迁移 的 可 用 带宽 为 L。 假 设 拷贝 
过 程 进 行 n 轮 ， 每 轮 数 据 传输 量 为 V(0<isn)， 所 用 时 间 为 
Ti(0<ign) 。 则 第 一 轮 中 所 有 内 存 页 都 会 被 复制 到 目的 主机 上 ， 
即 W=M 。 下 一 轮 中 , 会 将 上 一 轮 被 修改 的 页 面 再 次 复制 到 
的 主机 。 因 此 每 轮 的 数据 传输 量 为 

了 =R.T ,i>0 


i 


公式 错误 ! 未 找到 引用 源 。 计 算 


了 -五 -2 .- R 也 
L L L 


令 4=R/L， 又 及 =M/L， 所 以 可 得 迁移 的 总 时 间 为 
a M 1-A4"" 
人 (3) 
可 以 发 现 ,虚拟 机 内 存 的 大 小 直接 影响 了 迁移 时 间 的 长 短 ， 
而 迁移 时 间 越 短 , 源 主机 上 网 络 流量 减少 的 速度 也 越 快 .因此 ， 
内 存 大 小 是 决定 该 虚拟 机 是 否 应 该 被 迁移 的 一 个 重要 条 件 。 
其 次 ， 虚 拟 机 发 送 的 流量 是 直接 影响 网 络 是 否 拥 
a oe i ea 可 以 最 快 地 解决 网 络 
塞 ， 但 是 需要 考虑 该 虚拟 机 由 攻击 者 控制 的 情况 。 即 使 进行 迁 
ee 卖 发 起 DoS 攻击 ， 对 整个 
云 平台 没有 起 到 防御 的 作用 。 所 以 ， 迁 移 虚拟 机 时 ， 流 量 状况 
也 是 重要 的 取决 因素 。 
本 文 提出 一 种 基于 流量 阔 值 的 虚拟 机 选择 方法 ， 具 体 做 法 
。 主 机 5 上 虚拟 机 i 内 存 大 小 为 RAM(i) ，t 时 刻 产生 的 流 
为 六 GD ,虚拟 交换 机 j 的 上 行 链 路 带宽 为 8) , 门限 阐 值 
云 服务 提供 商 设置 ， 当 虚拟 机 i 在 1 时 刻 的 流量 率 满足 


,< Bj 时 , 将 其 加 入 到 待 迁移 序列 中 。 令 待 迁 移 虚 拟 机 
为 1 ， 则 


(1) 


则 每 轮 的 时 间 可 1 


(2) 


= 
几 本 


二 


RQ 


I 


nr 
区 


1={ilTy (DB, :aieS) 


而 言 ， 虚 拟 机 的 迁移 策略 包括 三 个 方 
设 定 迁 移 的 触发 条 件 ， 或 选择 迁移 时 
拟 机 从 源 主机 迁移 至 目的 主机 上 。 本 


如 下 迁移 策略 ; 
迁移 虚拟 机 的 选择 
现 某 一 主机 产生 
上 迁移 出 去 的 特定 虚 拒 
每 次 迁移 完成 后 ， 重 新 检测 物理 主机 的 网 络 状 态 ， 


网 络 拥塞 时 ， 首 先 需 要 选择 从 该 主机 
本 小 节 提 出 一 种 虚拟 机 选择 策略 ， 
如 果 仍 然 处 


A 


用 户 提供 


了 


于 在 迁移 过 程 中 


的 虚拟 机 进行 迁移 ， 直 到 云 平台 能 向 


E 常 的 可 靠 服务 。 


预 拷贝 阶段 一 > 


进行 实时 在 线 迁移 。 目 


112] 


ES 
[本 rr 
虚拟 机 总 迁移 时 间 


图 3 ”虚拟 机 预 拷贝 迁移 的 过 程 
需要 保证 服务 的 连续 性 
前 最 常用 的 方式 是 预 拷贝 迁 


循环 复制 阶段 | | 
In-1 


， 一 般 对 虚拟 机 


移 生 并 ! 末 并 到 下 用 


hu 


即 寺 
的 元 素 ， 


塞 发 生 时 ， 流 量 率 低 于 阐 值 的 所 有 虚拟 机 。 对 于 


再 令 


RAM (i 
3 © 
将 鼎 ,按照 大 小 , 升序 排列 , 得 到 迁 开 移 顺序 列表 。 每 次 从 队列 头 
部 依次 往 后 选择 虚拟 机 进行 迁移 ， 一 段 时 间 后 ， 重 新 检测 网 络 
| 
虐 吊 。 

4.2 ”迁移 触发 机 制 的 选择 

本 节 首 先 从 最 简单 的 情形 进行 分 析 ， 即 对 单个 虚拟 机 进行 
的 迁移 中。 为 方便 分 析 , 假设 时 间 是 离散 的 , 即 可 以 被 分 解 为 若 
干 个 个 时 间 帧 ， 每 帧 表示 1 秒 。 云 服务 提供 商 承 担 虚 拟 机 迁移 
生 的 开销 ， 记 为 Gt, ， 其 中 C, 是 单个 虚拟 机 单位 时 间 内 的 
移 开 销 ， 是 总 的 迁移 时 间 。 当 网 络 发 生 拥 塞 时 ， 由 于 服务 
量 无 法 得 到 保障 ， 服 务 商 将 违反 SLA， 并 且 需 要 为 此 进行 赔 
偿 , 将 这 一 部 分 的 开销 记 为 C,f, ，C, 是 单位 时 间 内 违反 SLA 的 
开销 ， 卖 时 间 。 不 失 一 般 性 ， 本 文 定义 C, =1C,=K ， 


L 


+ 


二 


沁 


t, 是 持续 
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其 中 keR'。 

设 虚 拟 机 总 的 迁移 时 
即 得 到 解决 。 云 平 
证 = 


ee 包括 迁移 成 本 以 及 由 于 违反 SLA 产生 的 开销 。 由 上 
F 销 函数 。 


[Es 


， 可 以 得 到 如 公 
了 Cn 

了 人 

人 


C(D = 


台 在 时 译 


SN 式 的 天 


间 为 7 ， 且 认为 迁移 结束 时 网 络 拥塞 
7 检测 至 
个 迁移 的 开始 时 刻 ! ， 使 得 总 的 开销 最 小 。 


网络 中 出 现 拥 塞 ， 需 要 确 
定义 一 个 开销 


当 t<v,v-t>T; 


当 t <v,v-t<T; 


(6) 


当 t>v. 


开销 函数 描述 ] 


种 情 


将 上 式 中 的 三 种 情 


多分 别 表 本 


,包含 


了 t 和 vv 之 间 可 能 的 关系 。 


:为 CC 和 Cs，C 描述 的 情形 是 


虚拟 机 迁移 发 生 于 产生 拥 


塞 之 前 


是 迁移 结束 后 仍 未 检测 到 网 


络 拥塞 ， 因 此 开销 


仅 包括 虚拟 机 迁移 产生 的 费用 。C, 表示 迁移 


开始 于 拥塞 之 前 , 但 网 络 拥塞 时 迁移 仍 在 进行 。C; 包 含 两 部 分 : 


到 阔 值 线 以 


张 ” 菏 ， 


图 4 带宽 利 


如 图 


例 > 


量 值 6， 表 示 


率 随时 间 
4 中 (1) 所 示 ，a 点 出 现 瞬 时 峰 
， 此 时 不 应 该 
宽 利用 率 超 过 阐 


ChinaXiv 合 作 期 刊 


等 : 基于 虚拟 机 迁移 的 DoS 攻击 防御 方法 
变化 的 三 种 可 能 情形 

值 后 ， 带 宽 利 用 率 降低 
触发 迁移 。 因 此 ， 本 文 设 定 一 个 度 
值 的 时 间 占 总 的 观测 时 间 的 比 


称 之 为 过 闵 度 。 设置 


个 标准 


值 6， 为 系统 允许 的 过 病 度 


最 大 值 , 只 要 当 
考虑 到 图 4 中 (2) 所 示 的 | 
续 时 间 可 能 是 分 段 的 , 且 


实 的 过 阔 


i 


好 


青 况 ， 即 在 一 段 时 间 内 ， 超 过 


度 6. 满 足 5>6w 时 , 执行 迁移 操作 。 
阅 值 的 持 
阔 度 都 小 于 6w ,但 是 此 时 网 


段 的 过 


络 状态 已 经 接近 于 拥塞 ， 应 该 进行 虚拟 机 迁移 。 于 是 将 触发 时 


刻 修 改 为 第 一 次 观测 到 总 的 超过 


过 ww ， 即 当 


全 5 <5 上 且 交 5 >5 时 ， 在 第 n 次 
1=1 t=4 


阐 值 时 间 占 观测 时 间 的 比值 超 


过 阔 度 达到 


人 @) 虚拟 机 迁移 产生 的 费用 ，(b) 拥塞 时 违反 SLA 的 开销 。C， 5- 妆 3 时 ,触发 迁移 。 还 需要 注意 的 是 如 图 4 中 (3) 的 情形 ， 
表示 网 络 检测 到 拥塞 后 ， 开 始 虚拟 机 的 迁移 ， 开 销 情 况 同 C, 。 ” 当 带 宽 利 用 率 低 于 阐 值 线 的 时 间 较 长 时 ,上 个 持续 时 间 An 转化 
容易 发 现 ，C 下 的 开销 最 小 。 需 要 指出 的 是 ， 这 个 最 优 解 ” 而 来 的 过 阔 度 , 对 于 总 的 过 闵 度 的 影响 必然 是 衰减 的 , 所 以 An 
是 在 离线 分 析 的 条 件 下 得 到 的 ， 即 总 是 可 以 预先 判断 拥塞 发 生 0 
的 时 刻 ， 并 在 此 之 前 进行 虚拟 机 的 迁移 。 然 而 ， 这 样 的 假设 对 2 人 ee 人 
于 网 络 中 的 攻击 场景 来 说 是 难以 成 立 的 ， 因 为 网 络 空间 中 基于 ”是 一 个 固定 值 ， 过 阐 度 以 衰减 后 的 时 间 计 算 。 
未 知 漏洞 和 后 门 的 未 知 攻 击 随 时 可 能 发 生 ， 先 验 知识 不 足以 保 综合 以 上 的 条 件 及 限制 , 本 文 对 触发 迁移 的 策略 选择 如 下 : 
证 云 环境 的 安全 或 对 攻击 进行 防御 。 将 所 有 衰减 后 的 过 阔 度 值 相 加 ， 在 第 一 次 超过 标准 值 时 ， 触 发 
但 这 给 本 文 提供 了 一 种 解决 思路 ， 即 在 线条 件 下 ， 应 当 尽 。 迁移 ， 直 至 带宽 利用 率 回归 稳定 的 正常 水 平 ， 然 后 将 过 闵 度 和 


量 在 网 络 产生 拥塞 之 前 
这 样 可 以 使 得 
峰值 触发 的 迁移 ， 而 且 
移 。 


,或 


总 的 开销 最 小 。 


者 拥塞 刚刚 发 生 时 触发 虚拟 机 迁 


需要 注意 的 是 ， 要 避免 
网 络 负载 呈现 下 降 趋势 时 也 不 必 进 行 迁 


于 瞬时 


旺 1 
展 1 
恕 1 
艳 | 
1 
| 
1 > 
和 时 间 . 
C1 
一 一 - 阅 值 线 
一 实际 数据 
本 We = ee ee pe 
a 人 和 
站 1 
挫 i i 
1 1 11 
1 0 1 
[i 
1& 1 14211591 
时 间 , 
(2) 
赂 
蛙 
辟 
仆 
破 


观测 时 间 清 零 ， 重 复 上 述 过 程 。 


4.3 


择 迁 


迁移 目的 地 的 选择 


移 的 


的 主机 时 ， 


每 次 选择 队 首 的 主机 作为 迁 


对 


5 


每 个 主机 上 虚拟 机 数量 服从 [5,10] 的 均匀 分 布 , 虚拟 机 所 需 的 带 
匀 匀 分 布 , 将 各 个 虚拟 机 内 存 大 小 进行 归 
满足 [13] 的 均匀 分 布 。 假 设 虚拟 机 带宽 
次 ， 且 迁移 过 程 均 可 在 一 个 时 间 单 元 内 完成 。 则 50 
单元 内 ， 各 个 主机 的 


宽 资 源 服从 [1,20] 的 ] 
化 处 理 ， 使 其 
单元 变化 一 
个 时 间 


的 了 


由 于 本 文 主要 解决 是 网 络 流量 出 现 的 拥塞 情况 ， 
按照 主机 的 带宽 利用 率 进 行 升 


因此 在 选 
这 排 列 ， 
移 的 目的 主机 ， 一 次 迁移 完成 后 ， 


E 机 队列 进行 更 新 ， 并 重复 上 述 过 程 。 
仿真 结果 分 析 
设置 云 环 境 中 有 100 个 物理 主机 ， 其 带宽 资源 均 为 120。 


A 


每 个 时 间 


带宽 需求 总 和 如 图 


5 所 示 。 


带宽 需求 总 和 


0 10 


20 30 40 50 
时 间 单元 


多 5 所 有 主 


机 的 带 


宽 需 求 总 和 随时 间 的 变化 情况 


经 统计 可 以 得 到 


, 每 个 时 间 单 元 内 , 带宽 需求 总 和 大 于 100 
E 机 比例 约 为 0.2, 大 于 120 的 比例 约 0.05。 本 文 将 过 阔 度 的 
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值 Cu 设置 为 0.3， 门 限 阔 值 wx 为 0.25。 
<7, N4> 情 形 中 , 攻击 者 选择 任 一 


标准 


虚拟 机 数量 最 


多 的 主机 进 


行 攻击 ， 由 于 攻击 流量 过 小 ，DoS 效果 不 明显 ; 过 


系统 关闭 而 禁止 服务 ， 因 此 假设 发 送 流量 为 30。 
文 所 提 的 虚拟 机 迁移 策略 ， 病 值 设置 为 120 时 可 


大 则 可 能 被 
此 时 ， 基 于 本 
得 到 该 主机 带 


宽 需 求 与 时 间 单 元 的 关系 如 图 6 (1) 所 示 。 圆 圈 
o 表示 ) 为 第 一 阶段 主机 上 承载 10 个 虚拟 机 时 的 
情况 ， 此 时 迁移 未 被 触发 ; 十 字 部 分 (用 + 表示 ) 
攻击 的 阶段 ， 因 为 主机 本 身 带宽 
击 可 以 达到 迅速 形成 DoS 的 效果 ， 从 方形 间 
始 ， 由 于 触发 了 迁移 机 制 ， 开 始 对 主机 上 的 虚拟 
根据 每 次 迁移 后 主机 的 带宽 需求 判断 是 否 继续 进 
星 形 部 分 (用 * 表 示 ) 出 现 

结果 表明 ， 该 情形 下 迁移 的 虚拟 机 平均 数量 为 3. 
图 6 (2) 是 基于 OpenStack 默认 迁移 机 制 下 
化 趋势 ， 即 只 要 带宽 需求 超过 阔 值 ， 就 将 内 存 最 
移 到 其 他 服务 器 上 。 对 比 图 6 (1) 可 以 发 现 ,在 
击 之 前 ， 该 策略 已 经 触发 了 虚拟 机 迁移 ， 攻 击 时 
求 总 和 过 大 而 进行 了 迁移 操作 
击 的 响应 速度 更 快 ， 减 轻 攻 击 影响 的 效率 更 高 。 
很 明显 : 没有 考虑 瞬时 峰值 ， 会 产生 很 多 不 必要 
迁移 数量 为 3.36 个 ， 迁 移 成 本 更 高 。 
基于 文献 错误 ! 未 找到 引用 源 。 提 
如 图 6 (3) 所 示 的 带宽 需求 变化 。 
限制 每 个 虚拟 机 的 最 大 发 送 流量 ， 
然 超 过 资源 总 量 ， 则 进行 丢 包 处 理 。 
火 墙 阀 值 和 丢 包 规则 ， 没 有 迁移 成 本 ， 是 三 种 策 
的 。 但 是 这 种 方法 并 不 能 有 效 解决 攻击 者 造成 的 


En 


该 策 


资源 已 接近 饱和 ， 
分 (用 


， 表 示 主 机 上 拥塞 已 得 到 缓解 。 


部 分 (图 中 用 
带宽 需求 变化 
为 攻击 者 实施 
所 以 这 种 攻 
表示 ) 开 
机 进行 迁移 ; 

行 迁移 ， 直 至 
仿真 


08 个 。 

的 带宽 需求 变 
大 的 虚拟 机 迁 
攻击 者 发 起 攻 
也 因为 带宽 需 


。 这 种 策略 的 优势 在 于 对 DoS 攻 


然而 其 缺点 也 
的 迁移 ， 平 均 


出 的 博弈 策略 ， 可 以 得 到 
各 在 发 生 网 络 拥塞 时 ， 
例如 降低 为 90%， 若 需求 仍 

该 策略 优势 只 


需要 设 定 防 
各 中 开销 最 小 
DoS 攻击 ， 反 


而 因为 流量 限制 影响 了 正常 用 户 的 使 用 ， 甚 至 违 


150 
时 间 单 元 
(1) 本 文 所 提 策 略 
140 
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展 
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(2)OpenStack 默认 迁移 机 制 
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(3) 基于 博弈 的 迁移 策略 
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7 <NM，4> 模 型 下 


需求 总 和 随时 间 的 变化 情况 


<M1, 4> 指 的 是 攻击 者 对 任 一 主机 发 起 攻击 , 且 恶意 流量 可 


见 自我 


意 流量 


| 


节 ， 使 得 虚拟 机 不 会 
的 调节 范围 为 [20,40]， 图 


现 ， 由 于 攻击 


前 带宽 需求 不 高 ， 而 且 攻 击 者 的 流量 


被 判定 为 实施 恶意 行为 。 假 设 
7 (1) 为 主机 上 运行 7 个 虚 
拟 机 ， 阔 值 设 置 为 120 时 带宽 需求 随时 i 


司 的 变化 情况 。 可 以 发 
是 动态 变化 


的 ， 因此 十 字 阶 段 (图 中 
迁移 的 条 件 。 
这 种 策略 是 在 避免 瞬时 高 峰 
击 二 者 中 做 出 的 权衡 ， 更 具有 
为 1.01。 


、 尽量 减 小 迁 


图 7 (2) 中 开始 阶段 与 图 7 (1) 无 明显 
发 虚拟 机 迁移 ， 带 宽 需 求 随 之 降低 。 此 日 


实用 意义 。 


由 于 服务 器 上 虚拟 机 数量 较 少 ， 攻 击 前 带宽 需求 小 ， 


+ 表示 ) 持续 较 长 时 间 ， 才 达到 触发 
尽管 可 能 对 正常 用 户 的 服务 造成 一 定 的 影响 ， 但 
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村 ， 虚 拟 机 平均 迁移 数 
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0.97 个 ， 略 低 于 本 文 策略 。 综 合 来 看 ，OpenStack 默认 策 
略 在 带宽 需求 小 时 缓解 DoS 攻击 的 效果 与 本 文 策略 接近 , 但 在 
带宽 需求 大 时 不 宜 采用 默认 策略 ， 容 易 产生 不 必要 的 开销 。 
图 7 (3) 由 于 对 带宽 需求 进行 了 限制 ， 可 以 发 现 总 和 处 于 
一 个 较 稳 定 的 水 平 。 但 实际 上 ， 用 户 的 正常 服务 受到 了 较 大 影 
响 ， 是 一 种 对 DoS 攻击 的 妥协 方法 ， 没 有 从 实际 角度 缓解 DoS 
攻击 带 来 的 性 能 降低 和 安全 隐患 。 真 实 网 络 环境 下 不 宜 采用 。 
图 8 表示 在 <NI，4> 情 形 ， 设 定 不 同 闵 值 时 ， 需 要 迁移 的 
虚拟 机 数量 与 主机 上 虚拟 机 数量 之 间 的 关系 。 易 知 ， 相 同 阔 值 
条 件 下 ,主机 上 虚拟 机 数量 越 多 , 缓解 DoS 攻击 时 需要 迁移 的 
虚拟 机 数量 也 更 多 ; 而 对 于 同一 主机 ， 阔 值 越 低 ， 需 要 迁移 的 
虚拟 机 数量 越 多 。 因 为 冰 值 低 时 , 只 有 迁移 更 多 数量 的 虚拟 机 ， 
才 可 以 使 得 带宽 需求 降低 到 阔 值 线 以 下 , 对 于 DoS 攻击 防御 的 
效果 更 好 ， 但 更 多 的 迁移 也 使 得 开销 增加 。 
对 于 另外 两 种 情形 <I，4>、<NI，NA>,， 仿真 的 结果 只 是 在 
迁移 的 触发 时 刻 〔 即 方形 部 分 口 起 始 位 置 ) 和 迁移 的 虚拟 机 数 
上 有 所 区 别 ， 利 用 虚拟 机 迁移 都 可 以 减轻 攻击 行为 造成 的 主 
儿 DoS， 且 本 文 策略 相 较 于 其 他 两 种 策略 ， 能 适应 于 不 同 的 攻 
击 者 行为 ， 以 可 接受 的 迁移 开销 , 快速 绥 解 DoS 攻击 造成 的 威 
胁 。 
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图 8 <NI，4> 模 型 下 ， 阐 值 不 同时 迁移 的 VM 数量 与 主机 上 VM 数量 的 
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云 环境 资源 共享 的 模式 使 得 不 同 用 户 的 虚拟 机 可 以 共存 于 
同一 物理 主机 上 ， 攻 击 者 可 以 利用 恶意 虚拟 机 持续 消耗 带宽 ， 
造成 其 他 用 户 正 常服 务 受到 影响 ， 形 成 云 平台 中 的 DoS 攻击 。 
利用 虚拟 机 迁移 ， 在 设 定 的 触发 机 制 下 ， 将 发 生 DoS 攻击 的 主 
机 上 特定 的 虚拟 机 迁移 到 其 他 可 以 提供 正常 服务 的 主机 上 ， 一 
方面 保证 虚拟 机 服务 的 正常 运行 , 同时 缓解 源 主 机 上 的 DoS 攻 
击 。 实 验 结果 表明 ， 虚 拟 机 迁移 可 以 在 较 短 的 时 间 内 ， 有 效 抵 
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御 DogS 攻击 , 迁移 产生 的 开销 可 以 随 云 服务 提供 商 设 置 的 闵 值 
变化 ， 即 QoS 要 求 越 高 ， 迁 移 开销 越 大 。 今 后 可 以 结合 人 工 智 
能 的 相关 技术 ， 对 攻击 流量 的 特征 进行 识别 、 提 取 ， 直 接 对 攻 
击 者 进行 限制 ， 减 小 迁移 操作 带 来 的 开销 。 
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